Imagen: Wikimedia

Cuanto más conectadas estén nuestras vidas a la tecnología, más vulnerables son a problemas como errores de software y hackers. Esto incluye la tecnología que ponemos dentro de nuestro cuerpo. Recientemente se ha mostrado claramente que las bombas de insulina y los marcapasos tienen las mismas vulnerabilidades que las inoportunas teteras conectadas a la red.

Una nueva investigaci√≥n demuestra lo vulnerable que pueden ser los aparatos m√©dicos. En un estudio reciente, investigadores de la empresa de seguridad WhiteScope analizaron marcapasos y desfibriladores de cuatro fabricantes diferentes as√≠ como los sistemas que se utilizan para monitorizarlos y mantenerlos. Encontraron 8.000 vulnerabilidades diferentes dentro del c√≥digo del aparato card√≠aco. Por si no queda claro, este es un n√ļmero muy grande.

Los investigadores encontraron problemas graves en los ecosistemas de todos los aparatos, como sistemas de software que no estaban actualizados o el almacenamiento de datos privados del paciente que no estaba codificados. En ocasiones cuando los dispositivos estaban conectados a sistemas de monitorizaci√≥n, ninguno oblig√≥ a los investigadores a utilizar un nombre de usuario y una contrase√Īa. Los sistemas tampoco confirmaron que los dispositivos a los que se estaban conectando eran aut√©nticos.

El estudio indica que los marcapasos se enfrentan a ‚Äúgraves retos de seguridad‚ÄĚ. Esta declaraci√≥n puede que sea demasiada educada.

Advertisement

Los resultados son especialmente preocupantes después del ataque del ransomware WannaCry, que impactó a varios hospitales por todo el mundo. Durante este ataque un dispositivo médico fue afectado por ransomware por primera vez (es la primera instancia conocida). En este caso, se trataba de aparatos médicos fabricados por Bayer.

No obstante, el impacto del hackeo de dispositivos m√©dicos puede llegar a ser mucho peor: puede poner en peligro la vida de un paciente o revelar datos m√©dicos privados. Esto es algo que los expertos de ciberseguridad han advertido durante a√Īos. En 2013, el hacker Barnaby Jack declar√≥ que pod√≠a tomar control de un marcapasos desde una distancia de poco m√°s de 15 metros y utilizar el aparato para causar un shock letal. El antiguo vicepresidente de Estados Unidos, Dick Cheney, le orden√≥ a un m√©dico que eliminara la capacidad inal√°mbrica de su marcapasos para protegerle de los hackers a pesar de que significaba que las actualizaciones de software requerir√≠an cirug√≠a.

Advertisement

Pero aunque los dispositivos m√©dicos suelen ser viejos y desactualizados, y por lo tanto m√°s vulnerables a un ataque, hasta ahora no ha habido casos de hackers haciendo da√Īo a pacientes aprovechando estos fallos. Sin embargo, la Administraci√≥n de Alimentos y Medicamentos de los Estados Unidos (FDA, por sus siglas en ingl√©s) y otras agencias se est√° preocupando de lo que podr√≠a pasar con estos aparatos en el futuro. En enero, la FDA public√≥ una advertencia donde explic√≥ que ciertos implantes card√≠acos podr√≠an ser hackeados y reprogramados para mandar se√Īales y producir un shock que cause la muerte.

El oto√Īo pasado, Johnson & Johnson fue obligado a decirle a sus clientes que sus bombas de insulina ten√≠an un fallo de seguridad que los hackers podr√≠an usar para administrar una sobredosis de insulina potencialmente mortal.

Cuantos m√°s dispositivos tengan la capacidad de comunicarse de forma inal√°mbrica, m√°s crecer√° la amenaza del hackeo. Despu√©s de la publicaci√≥n de investigaciones como la de WhiteScope, est√° claro que para los fabricantes de dispositivos m√©dicos, implementar medidas de seguridad b√°sicas, como un nombre de usuario y una contrase√Īa, parece que no les preocupa mucho.

Advertisement

Otro estudio reciente analizó el mercado de los dispositivos médicos de forma más amplia y encontró que solamente 17 por ciento de los fabricantes habían tomado medidas para asegurar sus aparatos.

Los fabricantes est√°n empezando a poner m√°s atenci√≥n a estos problemas. Est√°n contratando a expertos en ciberseguridad y creando programas para que los ‚Äúhackers buenos‚ÄĚ reporten los fallos que encuentren. Pero cuando un hackeo puede significar la vida o la muerte, no pueden arreglar estos sistemas lo suficientemente r√°pido.